awsにおけるセキュリティの考え方
TRANSCRIPT
AWSにおける セキュリティの考え方クラスメソッド株式会社 AWSコンサルティング部 森永 大志
自己紹介
Morinaga Taishi(@morimoritaitai) AWS Solution Archetect ✦ 趣味 : ゲーム(全般) / 酒 / カメラ ✦ 興味 : DevOps / Security
AWS Certified Solutions Architect - Professional Developer -Associate SysOps Administorator - Associate
最近はもっぱら娘の写真ばかり撮ってます
すんごい可愛いです。
弊社リモートワーク可なので 育児しながら仕事してます。
有り難い。。。
会社紹介
Classmethod,Inc.
世の中のクリエイティブに 貢献する会社
技術を使って事業会社の お手伝いをする会社
技術を使って事業会社の お手伝いをする会社
AWS / Mobile / BigData IoT / Security and more..
技術大好きエンジニアが たくさん集まっています
そんなエンジニアが書いている弊社メインコンテンツ
Developers.IO
5400本の技術記事 2300本のAWS記事 月間100万PV
AWSにおける セキュリティの考え方
いきなりですが質問です
Q. オンプレとクラウドの どっちが安全でしょう?
A. 適切なセキュリティ対策を 施しているほうがより安全
Q. 適切なセキュリティ対策、 何をすればよいでしょう?
情報セキュリティとは
機密性 完全性 可用性
を維持することらしい
認められた人以外は100%情報にアクセスできないような対策?
(機密性)
情報が100%破壊、改ざん、消去されないような対策?
(完全性)
どんなときも100%情報に アクセスできるような対策?
(可用性)
セキュリティに100%はない
でも出来る限り安全を求めたい
それを意識したうえで AWSのセキュリティ
http://aws.amazon.com/jp/security/
http://aws.amazon.com/jp/security/
「AWS のクラウドセキュリティは まったく手間がかかりません。」
ちょっと言い過ぎ
ユーザ側がやらないといけないことがちゃんとあります。
上司 「AWSとの責任分界点どこよ?」
安心して下さい。
定義されてますよ!
https://aws.amazon.com/jp/compliance/shared-responsibility-model/
責任共有モデル
責任共有モデル• • • •
クラウドのこと →AWSが責任を持つよ
クラウドの中でやってること →ユーザが責任を持ってね
AWS Global Infrastructure Edge Location
Region
Availability Zone
AWS Foundation Services
Compute Storage Database Networking
Network Security
Customer Applications & Content
https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf
Inventory & Config
Access Control
Data Security
AWSが責任をもつこと
AWSのサービスを実行するための • ハードウェア • ソフトウェア • ネットワーク • データセンタ
ユーザが責任をもつこと
クラウドの中の • データ • オペレーティングシステム • ネットワーク • アクセス管理 • アプリケーション
AWSを使えばセキュリティから解放される、わけではないです。
が、AWSが責任持ってくれているだけ手間は減る。
AWS Global Infrastructure Edge Location
Region
Availability Zone
AWS Foundation Services
Compute Storage Database Networking
Network Security
Customer Applications & Content
https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf
Inventory & Config
Access Control
Data Security
AWS Global Infrastructure Edge Location
Region
Availability Zone
AWS Foundation Services
Compute Storage Database Networking
Network Security
Customer Applications & Content
https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf
Inventory & Config
Access Control
Data Security
スコープ外!
http://aws.amazon.com/jp/security/
http://aws.amazon.com/jp/security/
セキュリティを最も重視する組織の要件を満たすよう構築
セキュリティを最も重視する組織の要件を満たすよう構築
(恐らく)金融機関
PCI DSS Payment Card Industry Data Security Standard
クレジットカード業界の セキュリティ基準
その実は情報セキュリティの 具体的な実装要求
PCI データセキュリティ基準 ‒ 概要安全なネットワークとシステム
の構築と維持
1. カード会員データを保護するために、ファイアウォールをインストールして維持する
2. システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護3. 保存されるカード会員データを保護する 4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの維持5. マルウェアにしてすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する
6. 安全性の高いシステムとアプリケーションを開発し、保守する
強力なアクセス制御手法の導入
7. カード会員データへのアクセスを、業務上必要な範囲内に制限する
8. システムコンポーネントへのアクセスを識別・認証する 9. カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視 およびテスト
10.ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
11.セキュリティシステムおよびプロセスを定期的にテストする情報セキュリティポリシーの
維持12.すべての担当者の情報セキュリティに対応するポリシーを維持する
安全なネットワークとシステムの構築と維持1. カード会員データを保護するために、ファイアウォールをインストールして維持する
2. システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護
3. 保存されるカード会員データを保護する
4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの維持
5. マルウェアにしてすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する
6. 安全性の高いシステムとアプリケーションを開発し、保守する
強力なアクセス制御手法の導入
7. カード会員データへのアクセスを、業務上必要な範囲内に制限する
8. システムコンポーネントへのアクセスを識別・認証する
9. カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視 およびテスト10.ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
11.セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの 維持12.すべての担当者の情報セキュリティに対応するポリシーを維持する
クレジットカードに限らず 個人情報を扱う場合 準拠しておきたい基準
PCI DSS関連参考URL
• Official PCI Security Standards Council Site
• PCI DSS v3.0 要件
• PCI DSS v3.0から 3.1 への変更点のまとめ
• PCI DSS v3.1 を取得する方法 | ロードバランスすだちくん
その他AWSが準拠している コンプライアンス規格
• SOC 1/SSAE 16/ISAE 3402 (formerly SAS 70) • SOC 2 • SOC 3 • FISMA, DIACAP, and FedRAMP • DOD CSM Levels 1-5 • ISO 9001 / ISO 27001 • ITAR • FIPS 140-2 • MTCS Level 3 • Criminal Justice Information Services (CJIS) • Cloud Security Alliance (CSA) • Family Educational Rights and Privacy Act
(FERPA) • Health Insurance Portability and Accountability
Act (HIPAA) • Motion Picture Association of America (MPAA)
(補足) 準拠しているかはAWSの サービスによって違います https://aws.amazon.com/compliance/
AWS Global Infrastructure Edge Location
Region
Availability Zone
AWS Foundation Services
Compute Storage Database Networking
Network Security
Customer Applications & Content
https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf
Inventory & Config
Access Control
Data Security
AWS Global Infrastructure Edge Location
Region
Availability Zone
AWS Foundation Services
Compute Storage Database Networking
Network Security
Customer Applications & Content
https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf
Inventory & Config
Access Control
Data Security
AWSの部分は準拠済み
AWS Global Infrastructure Edge Location
Region
Availability Zone
AWS Foundation Services
Compute Storage Database Networking
Network Security
Customer Applications & Content
https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf
Inventory & Config
Access Control
Data Security
Network Security
Customer Applications & Content
Inventory & Config
Access Control
Data Security
AWS Global Infrastructure Edge Location
Region
Availability Zone
AWS Foundation Services
Compute Storage Database Networking
Network Security
Customer Applications & Content
https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf
Inventory & Config
Access Control
Data Security
Network Security
Customer Applications & Content
Inventory & Config
Access Control
Data Security
ユーザはAWSがカバーしていない部分を準拠させれば良い
曖昧な部分もある
AWS Global Infrastructure Edge Location
Region
Availability Zone
AWS Foundation Services
Compute Storage Database Networking
Network Security
Customer Applications & Content
https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf
Inventory & Config
Access Control
Data Security
このへん
• 継承統制 • ハイブリッド統制 • 共有統制 • ユーザ固有の統制
継承統制
• AWSから完全に継承される
• AWSが準拠していればユーザも準拠したものとみなされる
• 例えば、物理的や環境面など
ハイブリッド統制
• AWSが部分的な実装を提供
• AWSが一部に責任を持ち、残りはユーザが責任を持つ必要がある
• 例えば、アクセスコントロールなど
共有統制
• AWSが特定のレイヤの実装を提供
• あるレイヤはAWSが、あるレイヤはユーザが責任を持つ
• 例えば、パッチの適用、構成管理など
「AWSと当社の責任分界点はどこですか?」
AWSはこれを明確にしていますので、安心して自分の責任範囲に集中しましょう。
まとめ
クラウドを使ったら 安全!
クラウドを使ったら 危険!
適切なセキュリティ対策 とってなかったら危険です
AWSのセキュリティは ◯◯◯◯モデル
AWSのセキュリティは 責任共有モデル
自分の責任範囲に 注力しましょう!
おしまし
Developers.IO 2016• 開催日時:2016年2月20日(土) • 開催場所:SAPジャパン(麹町)
88
Developers.IO 2016
http://devio2016.classmethod.jp/
2016.2.20@ SAP Japan